Cybersecurity: Canary Tokens

La sicurezza informatica è un campo in continua evoluzione, dove la creatività nella difesa è tanto cruciale quanto l'ingegno degli attaccanti. In questo scenario, emergono soluzioni innovative come i Canary Tokens, strumenti intelligenti che, pur nascendo con l'intento di proteggere, possono trasformarsi in una lama a doppio taglio.

I Canary Tokens rappresentano una categoria di strumenti di sicurezza progettati per agire come "esche" o "honeypot" digitali. Il loro scopo primario è rilevare accessi non autorizzati o attività sospette all'interno di un sistema o di una rete. L'idea alla base è semplice ma efficace: posizionare elementi apparentemente innocui, ma "tokenizzati", che una volta attivati da un'interazione (come l'apertura di un file o il click su un link), generano un allarme.

Come Funzionano

Un Canary Token è, in essenza, un piccolo "sensore" integrato in un file o in una risorsa digitale. Questi sensori sono programmati per inviare una notifica (tipicamente un'email) al proprietario non appena vengono attivati. La notifica include dettagli cruciali sull'evento, come la data e l'ora dell'accesso, l'indirizzo IP del dispositivo che ha interagito con il token e, in alcuni casi, informazioni sull'ambiente operativo.

Immaginate di posizionare un file chiamato "elenco-password.docx" su un server o un computer che volete monitorare. Se un attaccante dovesse aprire quel file, ignaro del Canary Token al suo interno, voi ricevereste immediatamente un'email di avviso. Questo permette di identificare tempestivamente una potenziale intrusione e di reagire prima che si verifichino danni significativi.

Versatilità dei Canary Tokens

Uno dei punti di forza dei Canary Tokens risiede nella loro estrema versatilità. Possono essere incorporati in una vasta gamma di elementi digitali, rendendoli adatti a diverse strategie di monitoraggio:

• Documenti: File di uso comune come documenti Word, PDF o fogli Excel possono essere "tokenizzati" per generare un avviso ogni volta che vengono aperti o modificati.
• Link e URL: È possibile creare link specifici che, se cliccati, inviano informazioni sull'utente che ha tentato di accedervi, inclusi indirizzo IP e, potenzialmente, la posizione geografica.
• QR Code: Un QR Code "tokenizzato" può innescare una notifica silenziosa al momento della scansione.
• Immagini: Un'immagine ospitata su un server può essere associata a un token in modo che ogni visualizzazione o download generi un avviso.
• App Fittizie: È possibile creare finte applicazioni (con icone e istruzioni di installazione) che, una volta aperte, inviano una notifica email con le informazioni catturate dal token.

Implicazioni negative

Nonostante la loro utilità come strumenti di difesa, i Canary Tokens presentano un lato oscuro significativo. Se sfruttati da malintenzionati, possono trasformarsi in una potente arma per la raccolta di informazioni e la violazione della privacy.

Un cybercriminale potrebbe creare un documento Word "tokenizzato" e inviarlo come allegato in un'email di phishing. Se la vittima, ignara del pericolo, aprisse il file, il token all'interno invierebbe automaticamente informazioni preziose, come l'indirizzo IP e dettagli sull'ambiente operativo, direttamente all'attaccante. Allo stesso modo, un link ingannevole o un QR Code "tokenizzato" potrebbero essere utilizzati per tracciare e segnalare l'accesso di una vittima, rivelando dettagli cruciali per futuri attacchi.

Comprendere come funzionano i Canary Tokens, come si configurano e, soprattutto, quali precauzioni adottare nel loro utilizzo è essenziale per massimizzarne i benefici e mitigarne i rischi. Solo attraverso una conoscenza approfondita e un approccio responsabile è possibile sfruttare appieno il potenziale di queste esche digitali per rafforzare la sicurezza informatica.

Generazione dei Canary Tokens

La creazione di un Canary Token è un'operazione intuitiva, anche per chi non possiede competenze tecniche avanzate. Il processo si articola in pochi passaggi chiari:

1. Accesso al Generatore Online: Il punto di partenza è il sito web https://canarytokens.org, una piattaforma gratuita che offre un'ampia gamma di opzioni per la "tokenizzazione". La pagina principale presenta diverse categorie di risorse che possono essere trasformate in Canary Tokens, tra cui documenti Microsoft Word ed Excel, file PDF, QR Code, link web e molto altro. Questa varietà consente di adattare i token a scenari di monitoraggio differenti.
   
   

   

   FIG 1 - Sito canarytokens.org

   
   
2. Selezione del Servizio: Una volta sul sito, si procede con la selezione della categoria desiderata dall'elenco dei token disponibili (ad esempio Microsoft Word, Microsoft Excel, MySql, Acrobat Reader PDF, ecc). È possibile affinare la ricerca utilizzando i filtri per categorie come Microsoft, Phishing, Cloud, Database e Other, oppure sfruttare la comoda barra di ricerca per trovare rapidamente il servizio specifico. Questa granularità permette agli utenti di scegliere il tipo di token più adatto alle proprie esigenze di monitoraggio, sia che si tratti di proteggere documenti sensibili o di tracciare l'uso di link sospetti.
3. Configurazione della Notifica: Il cuore del sistema di allerta risiede nella configurazione delle notifiche. Il generatore richiede due informazioni fondamentali:
   
   • Indirizzo Email: Qui va inserito l'indirizzo di posta elettronica al quale verranno recapitate le notifiche. È cruciale che questo indirizzo sia sicuro e monitorato, poiché riceverà i dettagli relativi all'attivazione del token.
     
   • Nota/Descrizione: Un campo facoltativo ma altamente raccomandato. Permette di aggiungere una breve nota o descrizione all'avviso, estremamente utile per distinguere e categorizzare le notifiche, specialmente quando si utilizzano più Canary Tokens contemporaneamente. Questa etichettatura facilita l'analisi rapida degli alert.
     
     

     

     FIG 2 - Create Microsoft Word Token

     
     
4. Creazione e Download: Una volta inserite le informazioni richieste e cliccato su "Create Canarytoken", il sistema genera il file o il link tokenizzato. Ad esempio, per un documento Word, sarà sufficiente cliccare su "Download your MS Word File" per scaricare il file preparato. Durante il download, viene visualizzata una notifica che conferma la ricezione di un avviso ogni volta che il documento viene aperto e sottolinea che il file può essere rinominato senza comprometterne la funzionalità. Questa flessibilità permette di integrare il token in scenari reali senza alterare l'esperienza dell'utente finale.
   
   

   

   FIG 3 - New Token Created

   
   

Dati Raccolti all'Attivazione del Token

Quando un documento o un link "tokenizzato" viene aperto o attivato, scatta un allarme e un'email di notifica viene immediatamente inviata all'indirizzo specificato durante la configurazione. Questa email contiene una serie di informazioni preziose che possono aiutare a identificare la natura e la provenienza dell'accesso:

• Indirizzo IP del dispositivo: Fornisce l'identificativo di rete del dispositivo che ha attivato il token, consentendo una prima geolocalizzazione dell'evento.
• Data e ora di accesso: Indica con precisione il momento in cui il token è stato attivato, utile per correlare l'evento con altre attività registrate.
• Versione di Office (se applicabile): Nel caso di documenti Word o Excel aperti su un computer con Microsoft Office installato, viene rilevata la versione del software, offrendo un ulteriore dettaglio sull'ambiente dell'attaccante.
• Informazioni specifiche per QR Code: Per i QR Code, le informazioni possono essere ancora più dettagliate, includendo il sistema operativo (es. iOS), il tipo di dispositivo (es. iPhone) e il browser web (es. Safari) utilizzati per la scansione.

FIG 4 - Canarytoken triggered

Questi dati, seppur non sempre sufficienti per identificare l'autore di un attacco, sono fondamentali per comprendere le modalità di un'intrusione, valutare l'efficacia delle proprie difese e reagire prontamente. L'utilizzo dei Canary Tokens, quindi, si configura come una strategia proattiva per rilevare e rispondere a potenziali minacce, trasformando la semplicità del loro funzionamento in un potente strumento di intelligence per la sicurezza.

Rilevare Canary Tokens e URL Sospetti in File Microsoft Office, PDF di Acrobat Reader e File Zip

Per ridurre il rischio di attivare involontariamente codice dannoso contenuto all'interno dei file è possibile rilevare potenziali Canary Tokens analizzando il contenuto di documenti Microsoft Office, documenti PDF di Acrobat Reader e file Zip con lo script python Canary Token Scanner (https://github.com/0xNslabs/CanaryTokenScanner).

Lo script identifica intelligentemente i documenti Microsoft Office (.docx, .xlsx, .pptx), i documenti PDF di Acrobat Reader (.pdf) e i file Zip. Questi tipi di file, inclusi i documenti di Office, sono archivi zip che possono essere esaminati programmaticamente. Sia per i file Office che per i file Zip, lo script decomprime il contenuto in una directory temporanea. Successivamente, scansiona questi contenuti alla ricerca di URL utilizzando espressioni regolari, cercando potenziali segni di compromissione.

Installazione di Python

Per poter utilizzare lo script è necessario che Python si installato sul sistema. Se Python non è installato, procedere con i seguenti passaggi:

• Dal sito ufficiale https://www.python.org/downloads/ individuare la versione stabile più recente di Python e procedere con il download dell'eseguibile.
• Una volta completato il download, avviare l'installazione eseguendo il file .exe scaricato.
• Durante il processo di installazione, assicurarsi di selezionare l'opzione "Add Python to PATH". Questo passaggio è importante perché permette al sistema di riconoscere i comandi Python da qualsiasi directory, rendendo l'utilizzo dello script molto più agevole. Avviare l'installazione cliccando su "Install now" e attendere che il processo sia ultimato.

FIG 5 - Install Python

Per verificare che Python sia stato installato correttamente e che il PATH sia configurato, aprire il Prompt dei comandi (cercare "cmd" nella barra di ricerca di Windows e premere Invio) e digitare il seguente comando:

python --version

Se l'installazione è andata a buon fine, il prompt visualizzerà la versione di Python installata sul sistema.

FIG 6 - Python version

Esecuzione dello script CanaryTokenScanner.py

• Dal sito https://github.com/0xNslabs/CanaryTokenScanner scaricare il file CanaryTokenScanner.py e copiarlo nella stessa cartella in cui si trova il file da analizzare.
• Aprire il Prompt dei comandi nella directory dove si trovano i file e digitare il seguente comando, sostituendo FILE_SOSPETTO con il nome effettivo del file che si intende analizzare
  python CanaryTokenScanner.py FILE_SOSPETTO
  Ad esempio
  python CanaryTokenScanner.py "cpdtbudoink8jnar0yp04h9el.docx"

FIG 7 - CanaryTokenScanner

In FIG 7 il file analizzato viene rilevato sospetto. Lo script fornisce un aiuto nella rilevazione di Canary Token ma non è infallibile: i documenti segnalati potrebbero non essere dannosi e non tutti i documenti malevoli verranno segnalati. Il modo più sicuro per analizzare un file sospetto è aprirlo in un ambiente sandbox isolato, dove il traffico di rete e le interazioni del file possono essere attentamente monitorate (con l'aiuto di appositi strumenti come Wireshark per l'analisi del traffico di rete e con Editor esadecimali per un'analisi a basso livello del contenuto del file). Questo previene che il Canary Token, se presente, possa compromettere il sistema o rivelare informazioni.

PowerShell: Individuare gli account AD senza un corretto tipo di crittografia

Gli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 risolvono una vulnerabilità di bypass e elevazione dei privilegi con negoziazione di autenticazione mediante la negoziazione RC4-HMAC debole.

L'aggiornamento imposta AES come tipo di crittografia predefinito per le chiavi di sessione in account che non sono già contrassegnati con un tipo di crittografia predefinito. 

Per proteggere l'intero ambiente, bisogna procedere all'installazione degli aggiornamenti di Windows rilasciati a partire dall'8 novembre 2022 su tutti i dispositivi, inclusi i controller di dominio. 

È possibile che siano stati definiti in modo esplicito i tipi di crittografia degli account utente vulnerabili a CVE-2022-37966. Per cercare gli account in cui DES/RC4 è abilitato in modo esplicito o gli account che hanno un valore nullo di msds-SupportedEncryptionTypes è possibile utilizzare il seguente comando:

Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"

Dopo l'installazione degli aggiornamenti di Windows con data 8 novembre 2022 o successiva, per il protocollo Kerberos è disponibile la chiave del Registro di sistema seguente:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KDC]

"DefaultDomainSupportedEncTypes"=dword:00000027

Se è necessario modificare il tipo di crittografia supportato predefinito per un utente o un computer di Active Directory, aggiungere e configurare manualmente la chiave del Registro di sistema per impostare il nuovo tipo di crittografia supportata.

I controller di dominio Windows usano questo valore per determinare i tipi di crittografia supportati negli account in Active Directory il cui valore msds-SupportedEncryptionType è vuoto o non impostato. Un computer che esegue una versione supportata del sistema operativo Windows imposta automaticamente gli msds-SupportedEncryptionTypes per tale account di computer in Active Directory. Si basa sul valore configurato dei tipi di crittografia consentiti per il protocollo Kerberos.

Gli account utente, gli account del servizio gestito del gruppo e altri account in Active Directory non hanno il valore msds-SupportedEncryptionTypes impostato automaticamente. 

Il valore predefinito 0x27 (DES, RC4, Chiavi di sessione AES) è stato scelto come modifica minima necessaria per questo aggiornamento della sicurezza. Per una maggiore sicurezza è consigliabile impostare il valore di DefaultDomainSupportedEncTypes su 0x3C (in questo modo  sia per i ticket crittografati con AES che per le chiavi di sessione AES). Se si passa ad un ambiente solo AES in cui RC4 non viene utilizzato per il protocollo Kerberos, è consigliabile impostare il valore su 0x38.

Ransomware: Recuperare i file cifrati dai ransomware Maze, Egregor e Sekhmet

I ransomware Maze, Sekhmet ed Egregor criptano i file della vittima usando ChaCha8 e aggiungendo un'estensione casuale. Alle vittime viene fornita una nota su come pagare il riscatto simile a quella mostrata di seguito:

 Attention!  
   
 ----------------------------  
 | What happened?  
 ----------------------------  
   
 We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.  
 You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.  
   
 We have also downloaded a lot of private data from your network, so in case of not contacting us as soon as possible this data will be released.  
 If you do not contact us in a 3 days we will post information about your breach on our public news website and after 7 days the whole downloaded info.  
   
 To see what happens to those who don't contact us, google:  
 * Southwire Maze Ransomware  
 * MDLab Maze Ransomware  
 * City of Pensacola Maze Ransomware  
   
 After the payment the data will be removed from our disks and decryptor will be given to you, so you can restore all your files.  
   
 ----------------------------  
 | How to contact us and get my files back?  
 ----------------------------  
   
 The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers.   
 To contact us and purchase the key you have to visit our website in a hidden TOR network.  
   
 There are general 2 ways to reach us:  
   
 1) [Recommended] Using hidden TOR network.  
   
  a) Download a special TOR browser: https://www.torproject.org/  
  b) Install the TOR Browser.  
  c) Open the TOR Browser.  
  d) Open our website in the TOR browser: http://aoacugmutagkwctu.onion/[modificato]  
  e) Follow the instructions on this page.   
   
 2) If you have any problems connecting or using TOR network  
   
  a) Open our website: https://mazedecrypt.top/[modificato]  
  b) Follow the instructions on this page.  
   
 Warning: the second (2) method can be blocked in some countries. That is why the first (1) method is recommended to use.   
   
 On this page, you will see instructions on how to make a free decryption test and how to pay.  
 Also it has a live chat with our operators and support team.  
   
 ----------------------------  
 | What about guarantees?  
 ----------------------------  
   
 We understand your stress and worry.  
 So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.  
 If you have any problems our friendly support team is always here to assist you in a live chat!  
   
 P.S. Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.  
 By hiding the fact of the breach you will be eventually fired and sometimes even sued.  
 -------------------------------------------------------------------------------  
 THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU  
 ---BEGIN MAZE KEY---  
 [modificato]  
 ---END MAZE KEY---  

Da quando i server del ransomware Maze sono stati spenti nell'ottobre 2020, le vittime hanno sperato nel rilascio delle chiavi di crittazione per il recupero dei dati. Il rilascio è avvenuto questa settimana, dopo quasi 14 mesi. Gli sviluppatori dei ransomware (nel 2020 il gruppo di pirati Maze si è unito ad altri gruppi criminali esperti di ransomware come Egregor), infatti, hanno rilasciato le master key dei ransomware Maze, Egregor e Sekhmet in un post sul forum di BleepingComputer.

La società di sicurezza Emsisoft ha sviluppato e rilasciato in tempi brevi un tool per la decrittazione dei file. Il tool può essere scaricato dal seguente link

DOWNLOAD

Recupero dei file

• Il tool va eseguito come amministratore. Una volta avviato bisogna accettare i termini di licenza cliccando sul pulsante "I Agree" per proseguire.
  

  

  FIG 1 - Emsisoft Termini di licenza

  
  
• Cliccare sul pulsante "Browse" e selezionare la nota di riscatto (generalmente un file di testo con il nome del tipo DECRYPT-FILES.txt) quindi cliccare su "Start".
  

  

  FIG 2 - Emsisoft Decryptor, selezione della nota di riscatto

  
  
• Verrà mostrato un messaggio informativo sui dettagli della crittografia recuperati dalle informazioni contenute all'interno delle note di riscatto. Cliccare su OK.
  

  

  FIG 3 - Decryptor Key Found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante "Add folder" è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti "Remove object(s)", per eliminare quelli selezionati, o "Clear object list" per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su "Decrypt" per avviare il processo.
  

  

  FIG 4 - Emsisoft Decryptor for MazeSehkmetEgregor

  
  
• Nella scheda Results verranno mostrati i progressi nel recupero dei file cifrati. Al termine del recupero è possibile salvare il log cliccando sul pulsante "Save log" oppure copiarlo negli appunti cliccando su "Copy log to clipboard".
  
  

  

  FIG 5 - Emsisoft Decryptor Results

  
  

 

Windows 10: Tracciare gli accessi al FileSystem

In questo articolo verrà mostrato come tracciare gli accessi al FileSystem sul PC riprendendo quanto già visto negli articoli Windows 10: Visualizzare i tentativi di accesso al sistema, Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi  e Windows 10: Visualizzare i processi eseguiti da un utente sul PC.
Prima di procedere bisogna attivare l'audit (si veda l'articolo Windows 10: Attivazione audit) e, dato il numero elevato di eventi da tracciare, incrementare le dimensioni del registro eventi come indicato nell'articolo Windows 10: Aumentare la dimensione dei registri eventi.

Attivare l'audit su una cartella

Supponiamo di voler tracciare le operazioni che vengono eseguite su una cartella, ad es. C:\Test:

• Cliccare, con il tasto destro del mouse, sulla cartella e selezionare, dal menu contestuale, la voce Proprietà.
• Selezionare la scheda Sicurezza quindi cliccare su Avanzate.
  

  

  FIG 1 - Proprietà cartella

  
  
• Selezionare la scheda Controllo quindi cliccare su Continua.
  

  

  FIG 2 - Impostazioni avanzate di sicurezza

  
  
• A questo punto la finestra apparirà come in FIG 3 e saremo pronti a configurare l'audit sulla cartella. Windows consente di tracciare le operazioni eseguite da un singolo utente o da tutti gli utenti appartenenti ad un determinato gruppo. In questo articolo andremo a monitorare tutte le operazioni eseguite dagli utenti che appartengono ai gruppi Users e Administrators. Cliccare sul pulsante Aggiungi.
  

  

  FIG 3 - Impostazioni avanzate di sicurezza, Voci di controllo

  
  
• Cliccare sul link Seleziona un'entità.
  

  

  FIG 3 - Voci di controllo

  
  
• Nella casella Immettere il nome dell'oggetto da selezionare, digitare users, cliccare sul pulsante Controlla nomi quindi confermare la scelta cliccando su OK.
  

  

  FIG 4 - Seleziona Utente o Gruppo

  
  
• Una volta tornati alla finestra per l’impostazione dell’audit, selezionare la caselle di controllo relative alle attività che si intendono monitorare (Lettura ed esecuzione, Visualizzazione contenuto cartella, Lettura, Scrittura) e cliccare su OK per ritornare alla finestra principale dell'audit.
  

  

  FIG 5 - Voci di controllo, Autorizzazioni di base

  
  
• Ripetere le stesse operazioni per il gruppo Administrators.
• Ci ritroveremo in una situazione analoga a quella mostrata in FIG 6. Cliccare su OK per confermare le operazioni e chiudere la finestra Proprietà.
  

  

  FIG 6 - Impostazioni avanzate di sicurezza

  
  

Verifica operazioni eseguite su file o cartella (Evento ID 4656)

Per generare qualche evento da analizzare, eseguire qualche operazione all'interno della cartella come la creazione di un nuovo file di testo e la copia ed esecuzione di un file batch.

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  

  

  FIG 7 - Visualizzatore eventi

  
  
• L'evento che ci interessa è quello con ID 4656: È stato richiesto l'handle di un oggetto. L'evento viene generato ogniqualvolta un utente prova ad accedere a una risorsa (come un file oppure una directory) sottoposta ad audit. Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4656 e cliccare su OK.
  

  

  FIG 8 - Filtro registro corrente

  
  
• Se il numero dei risultati è elevato possiamo affinare ulteriormente la ricerca. Cliccare sul tasto Trova presente sul pannello destro della finestra. Inserire, nell'apposita casella, il nome della cartella (C:\Test) che si desidera controllare e cliccare su OK.
  

  

  FIG 9 - Registro eventi, Trova

  
  
• L'evento contiene diverse informazioni suddivise per sezioni:
  Soggetto. Contiene informazioni relative all'utente che ha provato ad eseguire l'accesso. Tra i dati forniti in questa sezione troviamo ID Sicurezza, Nome Account, Dominio Account e l'ID accesso, un identificativo numerico che non viene ripetuto fino al successivo riavvio della macchina e che identifica la sessione di logon dell'utente consentendo di ricostruirne l'attività.
  Oggetto. Identifica l'oggetto del tentativo di accesso. In questa sezione vengono illustrati i campi Server dell'oggetto, il Tipo di oggetto, il Nome oggetto e il campo ID handle, un valore numerico che, come il campo ID accesso, non è ripetibile fino al successivo riavvio del sistema e che può essere utilizzato per ricostruire tutte le attività eseguite sull'oggetto nel corso di una sessione di lavoro.
  Informazioni sul processo. Identifica il processo/programma che ha effettuato, per conto dell'utente, l'accesso alla risorsa sotto audit. Viene indicato il Nome processo e l'ID processo.
  Informazioni di richiesta di accesso. In questa sezione vengono fornite informazioni aggiuntive sulla richiesta d'accesso tra cui l'ID transazione e il campo Accessi in cui vengono mostrati i permessi richiesti.
  

  

  FIG 10 - Proprietà evento

  
  

Dalle proprietà dell'evento mostrato in FIG 11 si evince che il file c:\test\Nuovo documento di testo.txt è stato eliminato, attraverso il processo explorer.exe, dall'utente Virtual.

FIG 11 - Evento ID 4656, File eliminato

L'evento mostrato in FIG 12 indica che il file batch C:\Test\fileBatch.bat è stato letto dal processo cmd.exe eseguito su richiesta dell'utente Virtual.

FIG 12 - Evento ID 4656, File batch

Ricerca degli eventi tramite PowerShell

Vediamo come ricercare gli eventi all'interno del registro utilizzando PowerShell. Prendiamo come esempio l'evento mostrato in FIG 13 relativo ad un operazione eseguita all'interno della cartella C:\Test. L'evento ha come Handle ID 0x2fc8. 

FIG 13 - Evento ID 4656, handle ID 0x2fc8

Possiamo effetture la ricera per l'Handle ID tramite il comando PowerShell

Get-WinEvent -FilterHashtable @{LogName='Security';data='0x2fc8'}| Format-List

FIG 14 - PowerShell, Ricerca evento tramite Handle ID

Ricostruire tutte le attività compiute su un oggetto o da un determinato utente  nell’ambito di una sessione di lavoro è complesso e leggere i risultati delle interrogazioni effettuate tramite PowerShell non è l'ideale.

Ricercare gli eventi tramite XPath

Per ricercare maggiori informazioni possiamo eseguire una query in formato XPath:

• Da Visualizzatore eventi cliccare su Filtro registro corrente e nella casella <Tutti gli ID evento> digitare nuovamente l'ID 4656
• Spostarsi sulla scheda XML. Verrà visualizzata la query XPath con i criteri di filtro inseriti. Per modificare la query manualmente selezionare la casella Modifica query manualmente e rispondere affermativamente alla successiva finestra di dialogo.
• Modificare il contenuto della query come indicato di seguito sostituendo a 0x2c30 l'handle ID da ricercare.
  

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='HandleId']='0x2c30']]
      </Select>
    </Query>
  </QueryList>

• Cliccando su OK verrà eseguita la query con le condizioni specificate.
  

  

  FIG 15 - Query XPath

• Dai risultati della query notiamo, oltre all'evento con ID 4656, anche nuovi eventi non osservati in precedenza con i seguenti ID:
  4663 "Tentativo di accedere a un oggetto." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 accedono all'oggetto.
  4658 "L' handle di un oggetto è stato chiuso." che viene generato quando il processo o gli utenti individuati dall'evento ID 4656 hanno terminato di utilizzare l'oggetto.
  

  

  FIG 16 - Risultato query XPath

  
  
• Per verificare le operazioni eseguite dall'utente possiamo modificare la query come indicato di seguito (sostituendo Virtual con il nome dell'utente da verificare)

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and *[EventData[Data[@Name='SubjectUserName']='Virtual']]
  	</Select>
    </Query>
  </QueryList>

• Se vogliamo focalizzare la nostra attenzione sull'utente e sulle operazioni eseguite mediante Esplora file possiamo affinare la query in questo modo
  

  <QueryList>
    <Query Id="0" Path="Security">
      <Select Path="Security">*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
  	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]
  	</Select>
    </Query>
  </QueryList>

• Per visualizzare le operazioni eseguite da un particolare utente su un determinato file utilizzando Esplora file, la query da utilizzare sarà simile alla seguente
  

  <QueryList>
    <Query Id="0" Path="Security">
  	<Select Path="Security">
  	*[System[(EventID>0)]]and*[EventData[Data[@Name='SubjectUserName']='Virtual']]and
  	*[EventData[Data[@Name='ProcessName']='C:\Windows\explorer.exe']]and
  	*[EventData[Data[@Name='ObjectName']='C:\Test\FilePassword.txt']]
  	</Select>
    </Query>
  </QueryList>

Windows 10: Verificare operazioni eseguite sugli account e cancellazione registri eventi

Quest'articolo prosegue gli argomenti trattati negli articoli Windows 10: Attivazione audit e Windows 10: Visualizzare i tentativi di accesso al sistema nei quali abbiamo visto come attivare l'audit e come visualizzare gli accessi riusciti e non riusciti al nostro sistema. 

Verificare gli accessi al sistema può non bastare ed è opportuno approfondire l'indagine al fine di individuare eventuali falle di sicurezza del sistema operativo o di uno dei software presenti sulla macchina. Per tale motivo è bene indagare anche su cosa ha effettuato il malintenzionato una volta avuto accesso al sistema come:

• Programmi eseguiti.
• Accessi al disco.
• Cancellazione dei registri eventi e log al fine di nascondere l'intrusione.
• Creazione di account utente e modifica di gruppi per lasciarsi una via di accesso nel caso in cui la vulnerabilità sfruttata per ottenere l'accesso venisse patchata.
• Cancellazione di account utente (che potrebbero ricondurre all'intrusione).

Verificare account eliminati (Evento ID 4726)

Per verificare se qualche account è stato eliminato e chi ha eseguito l'operazione possiamo procedere nel seguente modo:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
  

  

  FIG 1 - Registro eventi Sicurezza

  
  
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4726 (l'ID corrisponde all'evento: Un account utente è stato eliminato) e cliccare su OK.
  

  

  FIG 2 - Filtro registro corrente, ID 4726

  
  
• Come visibile in figura l'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), il nome e il SID dell’utente rimosso (sezione Account di destinazione, ID sicurezza:S-1-5-21....., Nome account:Test) oltre ad altre informazioni come la data e l'ora in cui l'operazione è stata eseguita.
  

  

  FIG 3 - Un account utente è stato eliminato

  
  

Verificare account rimossi da gruppi (Evento ID 4733)

Per verificare se qualche utente è stato rimosso da qualche gruppo:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4733 (l'ID corrisponde all'evento: È stato rimosso un membro da un gruppo locale con sicurezza attivata) e cliccare su OK.
• L'evento riporta l'autore della rimozione (Nella sezione Soggetto, Nome Account: Virtual), l'account rimosso dal gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato rimosso (Sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
  

  

  FIG 4 - È stato rimosso un membro da un gruppo locale con sicurezza attivata

  
  

Verificare account inseriti in gruppi (Evento ID 4732)

Nei seguenti passaggi viene mostrato come verificare se un account è stato inserito all'interno di un gruppo. Un malintenzionato può aver aggiunto un normale account utente, con privilegi limitati, al gruppo amministratore, con privilegi elevati:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4732 (l'ID corrisponde all'evento: È stato aggiunto un membro a un gruppo locale con sicurezza attivata) e cliccare su OK.
• L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account aggiunto al gruppo (sezione Membro, ID sicurezza: DELL-XPS/Test2), il gruppo da cui è stato aggiunto (sezione Gruppo, ID sicurezza: BUILTIN/Utenti desktop remoto).
  

  

  FIG 5 - È stato aggiunto un membro a un gruppo locale con sicurezza attivata

  
  

Verificare creazione nuovo account (Evento ID 4720)

Per verificare se sono stati creati nuovi account utente:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4720 (l'ID corrisponde all'evento: È stato creato un account utente) e cliccare su OK.
• L'evento riporta l'autore dell'operazione (sezione Soggetto, Nome Account: Virtual), l'account creato (sezione Membro, ID sicurezza: DELL-XPS/Test2, Nome account: Test2)e ulteriori informazioni.
  

  

  FIG 6 - È stato creato un account utente

  
  

Verifica disconnessione dell'utente (Evento ID 4647)

Per verificare quando un utente ha effettuato il logoff basta ricercare l'evento con ID 4647:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 4647 (l'ID corrisponde all'evento: Disconnessione avviata dall'utente) e cliccare su OK.
• L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
  

  

  FIG 7 - Disconnessione avviata dall'utente

  
  

Verifica cancellazione del registro (Evento ID 1120)

Un utente con privilegi amministrativi sulla macchina può cancellare completamente il contenuto del registro per nascondere le proprie tracce. L'operazione, tuttavia, genera un evento con ID 1120. Per verificare se il registro è stato svuotato e da chi:

• Avviare il Visualizzatore eventi (WIN+R e digitare eventvwr.msc seguito da invio).
• Nel riquadro sinistro espandere Registri di Windows e selezionare il registro Sicurezza. Cliccare su Filtro registro corrente.
• Nella casella contrassegnata dall'etichetta <Tutti gli ID evento> digitare l'ID 1120 (l'ID corrisponde all'evento: Registro di controllo cancellato) e cliccare su OK.
•  L'evento riporta l'autore (sezione Soggetto, Nome Account: Virtual), la data e l'ora dell'operazione.
  

  

  FIG 8 - Registro di controllo cancellato

  
  

Windows 10: Attivazione audit

La tracciatura degli eventi impostata di default in Windows, a differenza di altri sistemi operativi come GNU/Linux, risulta troppo limitata per consentire di individuare con certezza un eventuale intrusione fornendo informazioni dettagliate.

Fortunatamente è possibile ovviare a questa mancanza in maniera molto semplice attraverso l'utilizzo dell'Editor Criteri di gruppo locali:

• Avviare, con un utente amministratore, l'Editor Criteri di gruppo locali (WIN+R e digitare gpedit.msc seguito da invio);
• Selezionare il percorso Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Criteri controllo;
  

  

  FIG 1 - Editor Criteri di gruppo locali

  
  
• Bisogna attivare tutte le voci che appaiono sul pannello destro ad eccezione di Controlla accesso al servizio directory  in quanto, in questo caso, il PC non è connesso al dominio. Per l'attivazione basta cliccare due volte sul criterio e selezionare le caselle Operazioni riuscite e Operazioni non riuscite.
  
  
  
  

Di seguito i dettagli dei criteri di controllo.

Controlla accesso agli oggetti

Questa impostazione di sicurezza specifica se il sistema operativo controlla i tentativi di accesso a oggetti non Active Directory.

Controlla accesso al servizio directory

Specifica se il sistema operativo controlla i tentativi di accesso agli oggetti Active Directory. Nel caso di PC non connesso a dominio tale controllo non va attivato.

Controlla eventi accesso account

Specifica se il sistema operativo controlla o meno gli eventi di convalida delle credenziali di un account nel computer in uso.

Controlla eventi di accesso

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo evento di accesso o fine sessione nel computer in uso.  

Controlla eventi di sistema

Questa impostazione di sicurezza specifica se il sistema operativo controlla uno degli eventi seguenti: 

• Tentativo di modifica dell'ora di sistema
• Tentativo di avvio o arresto del sistema di sicurezza
• Tentativo di caricare componenti di autenticazione estendibili
• Perdita di eventi controllati a causa di un errore del sistema di controllo
• Dimensione del registro di sicurezza superiore a un livello soglia di avviso configurabile.

Controlla gestione degli account

Specifica se è necessario controllare ogni singolo evento di gestione degli account in un computer. Esempi di eventi di gestione degli account:

• Creazione, modifica o eliminazione di un account utente o di un gruppo.
• Ridenominazione, attivazione o disattivazione di un account utente.
• Impostazione o modifica di una password.

Controlla modifica ai criteri

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno ogni singolo tentativo di modifica dei criteri di assegnazione dei diritti utente, dei criteri di controllo, dei criteri degli account o dei criteri di attendibilità. 

Controlla esito processi

Questa impostazione di sicurezza determina se il sistema operativo controlla o meno gli eventi correlati ai processi, ad esempio la creazione e la chiusura di un processo, la duplicazione degli handle e l'accesso indiretto agli oggetti. 

Controlla uso dei privilegi

Questa impostazione di sicurezza specifica se controllare o meno ogni singolo evento di utilizzo di un diritto utente da parte di un utente.